Vigil@nce - Asterisk : détection de nom d’utilisateur
avril 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut observer les messages d’erreur SIP, afin de
détecter si un nom d’utilisateur est valide.
Produits concernés : Asterisk Open Source, Fedora, MBS
Gravité : 2/4
Date création : 28/03/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le service Asterisk peut être configuré avec :
– alwaysauthreject activé
– allowguest désactivé
– autocreatepeer désactivé
Cependant, dans cette configuration, les messages d’erreurs
d’authentification (de SIP INVITE, SUBSCRIBE et REGISTER)
diffèrent si le nom d’utilisateur existe ou non.
Un attaquant peut donc observer les messages d’erreur SIP, afin de
détecter si un nom d’utilisateur est valide.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Asterisk-detection-de-nom-d-utilisateur-12589